| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: about:blankWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.05.2004, 15:31
| #31 |
  |  about:blank Zumindest die in den chronicles aufgeführte 'Urversion' von searchx würde ich nach allem, was ich bisher weiß auch ausschließen. Entweder eine abartige Mutation oder etwas ganz neues... Was wir jetzt brauchen ist den Aufruf/Start oder meinetwegen auch die Initialisierung der dll. Die muss doch irgendwoher kommen... [img]redface.gif[/img]
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
12.05.2004, 15:43
| #32 |
 | about:blank Hab' jetzt doch mal eine Textsuche nach searchx gemacht und siehe da - neben der BHO-DLL ist noch eine weitere aufgetaucht: Bocioba.dll... Hab' mal gegoogelt - no success! Habe jetzt beide DLLs nach .old umbenannt (die BHO-DLL über Freigabe auf einem entfernten Rechner). Ich mach' jetzt Feierabend. Morgen ist ein neuer Tag!
__________________ |
|
13.05.2004, 08:35
| #33 |
| |  about:blank Moin,
__________________heute Morgen war nach Hochfahren meiner Arbeitskiste Schweigen im Walde - soll heißen, kein about:blank-Problem mehr. HijackThis zeigte auch keine Einträge der BHO-DLL mehr. Bin dann mal zur umbenannten BHO-DLL und plötzlich erkannte McAfee selbige als Trojaner StartPage-CZ und hat sie gelöscht (wahrscheinlich durch ein automatisches Viren-Update?)! [img]graemlins/daumenhoch.gif[/img] Die Bocioba.dll ist ebenfalls still - hab' sie jetzt auch gelöscht. So, jetzt werde ich die Registry-Einträge wieder zurücksetzen und abwarten... |
|
13.05.2004, 09:22
| #34 |
| | about:blank Noch'n Zusatz: Scheinbar wird der Trojaner von den verschiedenen Antivirenprogrammen unterschiedlich benamst. Das habe ich beim Googeln gefunden: "(...) F-Secure Anti-Virus Trojan.Win32.StartPage.gv (3.28 seconds taken) Kaspersky Anti-Virus Trojan.Win32.StartPage.gv (6.08 seconds taken) McAfee VirusScan StartPage-CZ (3.00 seconds taken) (...)" Dieses Zitat bezieht auf sich ein und die selbe DLL. Also scheint StartPage-CZ = Trojan.Win32.StartPage.gv... [img]graemlins/balla.gif[/img] [ 13. Mai 2004, 14:52: Beitrag editiert von: Mäc ] |
|
13.05.2004, 09:54
| #35 |
| |  about:blank Soeben hat McAfee StartPage-CZ wieder gemeldet und gleich gelöscht - für mich ist der Fall also damit wohl erledigt. [img]graemlins/huepp.gif[/img] War wohl doch eine automatische Virenupdate-Definition, die das Problem endgültig gelöst hat... Nichtsdestotrotz war das Bearbeiten der Sicherheitseinstellungen der entsprechenden Registry-Einträge ein Workaround, mit dem ich hätte leben können. Wann ändert man schon mal diese Settings...!? War mir 'ne Freude, hier etwas beitragen zu können... |
|
13.05.2004, 10:03
| #36 |
| | about:blank Hallo Mäc, </font><blockquote>Zitat:</font><hr />Soeben hat McAfee StartPage-CZ wieder gemeldet und gleich gelöscht</font>[/QUOTE]Kannst Du nachvollziehen, ob das während des Surfens auf einer 'bösen' Seite passierte, oder 'einfach so'. Bei letzterem habe ich den Verdacht, dass trotz McAfee vielleicht doch noch Reste auf Deinem System schlummern. Aber Du weißt ja, 'wir' arbeiten an einer Lösung... </font><blockquote>Zitat:</font><hr /> War mir 'ne Freude, hier etwas beitragen zu können... </font>[/QUOTE]Mir auch! [img]smile.gif[/img]
__________________ --> about:blank |
|
13.05.2004, 10:13
| #37 |
| | about:blank Hm, das passierte "einfach so". Der IE lief zwar, hab' aber gerade nix drin gemacht... McAfee zeigte mir die BHO-DLL an, den IE-Cache und noch 'ne Datei (sorry, weiß nicht mehr welche, aber wie ich StartPage-CZ mittlerweile kenne, meldet er sich bestimmt noch mal... ).Ich beobachte weiter und berichte dann ggf. |
|
13.05.2004, 10:24
| #38 |
| | about:blank Du könntest mir -oder besser uns allen- in der Zwischenzeit noch einen Gefallen tun. Hier posted Aendru am 12. Mai 2004 um 17:40 Uhr ein paar Reg-Schlüssel, in denen eine verdächtige dll aufgerufen wird. Würdest Du bei Gelegenheit mal nachschauen, ob dort (also bei Dir )auch soetwas vorkommt?Danke! [img]graemlins/daumenhoch.gif[/img]
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
13.05.2004, 10:38
| #39 |
| | about:blank Hallo Lutz, ich poste meine Antwort gleich bei Aendru. Nur so viel: Der HijackThis-Scan von Aendru kommt mir sehr bekannt vor: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing)</font>[/QUOTE]Sieht für mich aus wie StartPage-CZ/StartPage.gv: Ersetze den DLL-Namen des BHO durch einen (beliebigen) anderen, dann passt's! [ 13. Mai 2004, 14:53: Beitrag editiert von: Mäc ] |
|
13.05.2004, 10:57
| #40 |
| | about:blank Hi, kannst Du bitte mal nachschauen, ob es diese Einträge in Deiner Reg auch gibt (natürlich mit 'Deiner' dll: </font><blockquote>Zitat:</font><hr />In folgenden Keys fand RegAlyzer den Eintrag wdmbcn.dll (jeweils an Position 000 REG_SZ): HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604 HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603 HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5604 </font>[/QUOTE]
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
13.05.2004, 11:24
| #41 |
| | about:blank Hi Lutz, Fehlanzeige - diese Registry-Einträge sind bei mir nicht (mehr?) vorhanden.  BTW: HKEY_CURRENT_USER entspricht HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003 - aus historischen Gründen sind etliche Registry-Schlüssel doppelt vorhanden. So ist HKEY_CURRENT_USER immer eine Teilmenge von HKEY_USERS, eben einer dieser S-1-...-Schlüssel. Jeder User hat einen eigenen HKEY_CURRENT_USER-Ast (logo ), der einem dieser S-1-...-Schlüssel entspricht.[ 13. Mai 2004, 12:32: Beitrag editiert von: Mäc ] |
|
13.05.2004, 11:57
| #42 |
| | about:blank Danke Mäc, dass Du das überprüft hast. [img]graemlins/daumenhoch.gif[/img] Ich bin im Moment halt auf der Suche nach Parallelitäten bzw. Abweichungen... Das Tool, was da zur Zeit entwickelt wird, soll ja nicht mit 'heißer Nadel' gestrickt sein und nur manchmal helfen, sondern nach Möglichkeit immer erfolgreich sein bei diesem Sch****-Hijacker.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
13.05.2004, 12:54
| #43 |
| | about:blank Keine Ursache Lutz! Ich wünschte nur, ich hätte bei HijackThis genauer hingesehen und vielleicht auch mal die betroffenen Registry-Schlüssel exportiert und die BHO-DLL gesichert... Aber ich habe HijackThis wegen diesem Trojaner schon so oft täglich angeschmissen (um dann kurz darauf "Freund StartPage-CZ" wieder zu haben), dass ich einfach nur froh war, ihn nun (hopefully) endgültig los zu sein.Naja, das war sicher nicht der letzte Trojaner, der mir über den Weg läuft... |
|
13.05.2004, 19:39
| #44 |
| | about:blank Hey Leute Da ist ja eingiges gelaufen. Von Streitereien zwischen "löaplkjupo.iewrjögmkfla" und "Jopie" bis zur Lösung zum Problem (?) Leider weiss ich nicht ganz so gut Bescheid, wie ihr. Nachdem ich aber alles erdenkliche probiert habe um den "Trojaner" loszuwerden und immer wieder gescheitert bin, wäre ich wahnsinnig an einer Lösung zum Problem interessiert. Kann mit einer von euch weiterhelfen? Lutz, gibt es bald ein Tool für mein Problem? Danke & Gruss Jens |
|
13.05.2004, 20:30
| #45 |
| | about:blank </font><blockquote>Zitat:</font><hr />Lutz, gibt es bald ein Tool für mein Problem ? </font>[/QUOTE]Ich hoffe es stark. Das, was ich bisher davon gesehen habe, sieht sehr erfolgversprechend aus, muss aber noch ein bisschen 'feingeschliffen' und natürlich getestet werden... Wir werden dich -und natürlich alle anderen- auf dem Laufenden halten.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
| Themen zu about:blank |
| ahnung, antivirus, beiträge, beschäftigt, browser-hijacking, diverse, einträge, entführung, gelöscht, gelöst, geändert, helfen, hijack, hijack this, keine ahnung, mehrere, nicht, nicht mehr, norton, problem, problem gelöst, regedit, search, seite, seiten, startseite, suchmaschine, this, unerwünschte, updated, vielen dank, wirklich |
Linear-Darstellung
